🚨 NOVA NOTÍCIA EM DESTAQUE! 🚨
A notícia que você procurava está aqui!
Apoie esse projeto de divulgacao de noticias! Clique aqui
Um novo malware baseado em Lua, chamado LucidRook, está sendo usado em campanhas de spear-phishing direcionadas a organizações não governamentais e universidades em Taiwan.
Os pesquisadores do Cisco Talos atribuem o malware a um grupo de ameaças rastreado internamente como UAT-10362, que eles descrevem como um adversário capaz “com habilidade operacional madura”.
LucidRook foi observado em ataques em outubro de 2025 que dependiam de e-mails de phishing contendo arquivos protegidos por senha.
Os pesquisadores identificaram duas cadeias de infecção, uma usando um arquivo de atalho LNK que, em última análise, entregou um dropper de malware chamado LucidPawn, e uma cadeia baseada em EXE que aproveitou um executável antivírus falso representando o Trend Micro Worry-Free Business Security Services.
O ataque baseado em LNK emprega documentos falsos, como cartas do governo elaboradas para parecerem originárias do governo de Taiwan, para desviar a atenção do usuário.
Cadeia de ataque baseada em LNKFonte: Cisco Talos
O Cisco Talos observou que o LucidPawn descriptografa e implanta um executável legítimo renomeado para imitar o Microsoft Edge, junto com uma DLL maliciosa (DismCore.dll) para fazer o sideload do LucidRook.
LucidRook é notável por seu design modular e ambiente de execução Lua integrado, que permite recuperar e executar cargas úteis de segundo estágio como bytecode Lua.
Essa abordagem permite que as operadoras atualizem a funcionalidade sem modificar o malware principal, ao mesmo tempo que limita a visibilidade forense. Essa furtividade é ainda aumentada pela extensa ofuscação do código.
“A incorporação do interpretador Lua transforma efetivamente a DLL nativa em uma plataforma de execução estável, ao mesmo tempo que permite que o agente da ameaça atualize ou adapte o comportamento para cada alvo ou campanha, atualizando a carga útil do bytecode Lua com um processo de desenvolvimento mais leve e flexível”, explica Cisco Talos.
“Essa abordagem também melhora a segurança operacional, uma vez que o estágio Lua pode ser hospedado apenas brevemente e removido do C2 após a entrega, e pode dificultar a reconstrução pós-incidente quando os defensores recuperam apenas o carregador sem a carga útil Lua entregue externamente.”
Talos também observa que o binário é fortemente ofuscado em strings incorporadas, extensões de arquivo, identificadores internos e endereços C2, complicando quaisquer esforços de engenharia reversa.
Durante sua execução, o LucidRook realiza o reconhecimento do sistema, coletando informações como nomes de usuários e computadores, aplicativos instalados e processos em execução.
Os dados são criptografados usando RSA, armazenados em arquivos protegidos por senha e exfiltrados para infraestrutura controlada pelo invasor via FTP.
Ao examinar o LucidRook, os pesquisadores do Talos identificaram uma ferramenta relacionada chamada “LucidKnight”, que provavelmente é usada para reconhecimento.
Uma característica notável do LucidKnight é o abuso do GMTP do Gmail para exfiltrar os dados coletados, sugerindo que o UAT-10362 mantém um kit de ferramentas flexível para atender às diversas necessidades operacionais.
O Cisco Talos conclui com confiança média que os ataques do LucidRook fazem parte de uma campanha de intrusão direcionada. No entanto, eles não foram capazes de capturar um bytecode Lua descriptografável obtido pelo LucidRook, portanto, as ações específicas tomadas após a infecção não são conhecidas.
Pentesting automatizado cobre apenas 1 de 6 superfícies.
O pentesting automatizado prova que o caminho existe. O BAS prova se seus controles o impedem. A maioria das equipes executa uma sem a outra. Este whitepaper mapeia seis superfícies de validação, mostra onde termina a cobertura e fornece aos profissionais três perguntas de diagnóstico para qualquer avaliação de ferramenta.
Obtenha sua cópia agora
Os pesquisadores do Cisco Talos atribuem o malware a um grupo de ameaças rastreado internamente como UAT-10362, que eles descrevem como um adversário capaz “com habilidade operacional madura”.
LucidRook foi observado em ataques em outubro de 2025 que dependiam de e-mails de phishing contendo arquivos protegidos por senha.
Os pesquisadores identificaram duas cadeias de infecção, uma usando um arquivo de atalho LNK que, em última análise, entregou um dropper de malware chamado LucidPawn, e uma cadeia baseada em EXE que aproveitou um executável antivírus falso representando o Trend Micro Worry-Free Business Security Services.
O ataque baseado em LNK emprega documentos falsos, como cartas do governo elaboradas para parecerem originárias do governo de Taiwan, para desviar a atenção do usuário.
Cadeia de ataque baseada em LNKFonte: Cisco Talos
O Cisco Talos observou que o LucidPawn descriptografa e implanta um executável legítimo renomeado para imitar o Microsoft Edge, junto com uma DLL maliciosa (DismCore.dll) para fazer o sideload do LucidRook.
LucidRook é notável por seu design modular e ambiente de execução Lua integrado, que permite recuperar e executar cargas úteis de segundo estágio como bytecode Lua.
Essa abordagem permite que as operadoras atualizem a funcionalidade sem modificar o malware principal, ao mesmo tempo que limita a visibilidade forense. Essa furtividade é ainda aumentada pela extensa ofuscação do código.
“A incorporação do interpretador Lua transforma efetivamente a DLL nativa em uma plataforma de execução estável, ao mesmo tempo que permite que o agente da ameaça atualize ou adapte o comportamento para cada alvo ou campanha, atualizando a carga útil do bytecode Lua com um processo de desenvolvimento mais leve e flexível”, explica Cisco Talos.
“Essa abordagem também melhora a segurança operacional, uma vez que o estágio Lua pode ser hospedado apenas brevemente e removido do C2 após a entrega, e pode dificultar a reconstrução pós-incidente quando os defensores recuperam apenas o carregador sem a carga útil Lua entregue externamente.”
Talos também observa que o binário é fortemente ofuscado em strings incorporadas, extensões de arquivo, identificadores internos e endereços C2, complicando quaisquer esforços de engenharia reversa.
Durante sua execução, o LucidRook realiza o reconhecimento do sistema, coletando informações como nomes de usuários e computadores, aplicativos instalados e processos em execução.
Os dados são criptografados usando RSA, armazenados em arquivos protegidos por senha e exfiltrados para infraestrutura controlada pelo invasor via FTP.
Ao examinar o LucidRook, os pesquisadores do Talos identificaram uma ferramenta relacionada chamada “LucidKnight”, que provavelmente é usada para reconhecimento.
Uma característica notável do LucidKnight é o abuso do GMTP do Gmail para exfiltrar os dados coletados, sugerindo que o UAT-10362 mantém um kit de ferramentas flexível para atender às diversas necessidades operacionais.
O Cisco Talos conclui com confiança média que os ataques do LucidRook fazem parte de uma campanha de intrusão direcionada. No entanto, eles não foram capazes de capturar um bytecode Lua descriptografável obtido pelo LucidRook, portanto, as ações específicas tomadas após a infecção não são conhecidas.
Pentesting automatizado cobre apenas 1 de 6 superfícies.
O pentesting automatizado prova que o caminho existe. O BAS prova se seus controles o impedem. A maioria das equipes executa uma sem a outra. Este whitepaper mapeia seis superfícies de validação, mostra onde termina a cobertura e fornece aos profissionais três perguntas de diagnóstico para qualquer avaliação de ferramenta.
Obtenha sua cópia agora
#samirnews #samir #news #boletimtec #novo #malware #‘lucidrook’ #usado #em #ataques #direcionados #a #ongs #e #universidades
⚡ Fique ligado: novidades e promoções em breve por aqui! ⚡
Postar um comentário